Создание интеграции Azure DevOps с приложениями Microsoft Entra OAuth
Azure DevOps Services
В этом руководстве содержатся сведения и ссылки на дополнительные сведения о создании приложения Microsoft Entra OAuth для Azure DevOps. Идентификатор Microsoft Entra предоставляет надежные возможности управления удостоверениями и доступом, которые позволяют выполнять проверку подлинности пользователей и выполнять действия от их имени с помощью маркеров OAuth. Используйте эту информацию для применения токенов Microsoft Entra OAuth для различных потоков приложений, включая делегированный доступ и доступ на основе служебного принципала.
Использование токенов OAuth Microsoft Entra
Платформа удостоверений Майкрософт предлагает множество способов проверки подлинности пользователей с помощью протокола OAuth 2.0 . В этих документах мы используем маркеры OAuth для совместного обращения к потоков пользователей от имени, также известных как делегированные потоки, для приложений, которые запрашивают маркеры для выполнения действий для своих пользователей. Остальная часть этого руководства предоставляет полезные ресурсы для этих разработчиков приложений.
Другой распространенный сценарий использования приложений, который мы поддерживаем, — это создание приложения от имени с помощью служебных учетных записей и управляемых идентичностей. Токены Microsoft Entra также можно использовать для нерегламентированных запросов с помощью Azure CLI или операций git с помощьюМенеджера учетных данных Git.
Внимание
При создании нового приложения OAuth 2.0 начните с приложений Microsoft Entra OAuth, так как приложения OAuth для Azure DevOps OAuth планируются для отмены в 2026 году. Дополнительные сведения см. в записи блога.
Ресурсы для разработчиков
- Зарегистрировать приложение с помощью платформы удостоверений Майкрософт
-
Добавление разрешений для доступа к Microsoft Graph. Узнайте, как добавить делегированные разрешения из ресурса Azure. Вместо Microsoft Graph выберите
Azure DevOpsиз списка ресурсов. -
ознакомьтесь с областями и разрешениями вплатформе удостоверения Microsoft: изучите область
.default. Ознакомьтесь с областями, доступными для Azure DevOps в нашем списке областей. - Запрос разрешений с помощью согласия
- Использовать библиотеки проверки подлинности и примеры кода
- Управление личными токенами доступа через API. Использование API управления жизненным циклом PAT с токенами Microsoft Entra. Наши документы и связанные с примеры приложения предоставляют примеры настройки приложения Microsoft Entra для использования REST API Azure DevOps.
- исследуйте варианты поддержки и справки для разработчиков
Ресурсы для администраторов
- Понимание управления приложениями в Microsoft Entra ID
- Добавление корпоративного приложения
- Изучение опыта предоставления согласия для приложений в Microsoft Entra ID
Советы по созданию & миграции
Примечание.
Приложения Microsoft Entra OAuth изначально не поддерживают пользователей учетных записей Microsoft (MSA) для REST API Azure DevOps. Если вы создаете приложение, которое должно обслуживать пользователей MSA или поддерживать как пользователей Microsoft Entra, так и пользователей MSA, приложения Azure DevOps OAuth остаются лучшим вариантом. Сейчас мы работаем над собственной поддержкой пользователей MSA через Microsoft Entra OAuth.
-
важные идентификаторы Azure DevOps:
- Идентификатор ресурса Microsoft Entra:
499b84ac-1321-427f-aa17-267ca6975798 - URI ресурса:
https://app.vssps.visualstudio.com -
.defaultИспользуйте область при запросе маркера со всеми областями, для которыми разрешено приложение.
- Идентификатор ресурса Microsoft Entra:
- При переносе существующего приложения можно использовать идентификаторы пользователей Azure DevOps, которые не существуют в Microsoft Entra. Используйте API ReadIdentities для разрешения и сопоставления различных удостоверений, используемых каждым поставщиком удостоверений.